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Pare-feux ('firewalls'): 
Architecture de base 




1) Un domaine a proteger : un reseau Interne'. 

S Un reseau d'entreprise/ personnel que Ton veut proteger 

s Vis a vis d'un reseau 'externe' d'ou des intrus sont suceptibles de conduire des 
attaques. 

2) Un pare-feu 

s I nstalle en un point de passage obligatoire entre le reseau a proteger (interne) 
et un reseau non securitaire (externe). 

s C'est un ensemble de differents composants materiels et logiciels qui controlent 
le traffic interieur/exterieur selon une politique de securite. 

s Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi 
un ensemble complexe comportant plusieurs filtres, plusieurs passerelles, 
plusieurs sous reseaux .... 4 



Pare-feux ('firewalls'): 
Definitions de base 



ma 



s 1) 'Firewall' : en anglais un mur qui empeche la propagation 
d'un incendie dans un batiment => Frangais 'mur pare-feu'. 

s 2) Pare-feu : en informatique une protection d'un reseau 
contre des attaques. 

s 3) Technique employee : le controle d'acces (le filtrage). 

s a) Notion de guichet : restriction de passage en un point precis et 
controle des requetes. 

s b) Notion d'eloignement : empecher un attaquant d'entrer dans un 
reseau protege ou meme de s'approcher de trop pres de machines 
sensibles. 

s c) Notion de confinement : empecher les utilisateurs internes de 
sortir du domaine protege sauf par un point precis. 

s d) Generalement un pare-feu concerne les couches basses I nternet 
(IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP.... ). 

s 4) I mage militaire la plus voisine de la realite d'un pare-feu: 
les defenses d'un chateau-fort (murailles, douves, portes/pont 
levis, bastion=> confinement, defense en profondeur, filtrage). 



Pare-feux : 
le possible et I'impossible 



s Ce que peut faire un pare-feux : 

• 1) Etre un guichet de securite: un point central de controle de 
securite plutot que de multiples controles dans differents 
logiciels clients ou serveurs. 

• 2) Appliquer une politique de controle d'acces. 

• 3) Enregistrer le traffic: construire des journaux de securite. 

• 4) Appliquer une defense en profondeur (multiples pare-feux) 

s Ce que ne peut pas faire un pare-feux : 

• 1) Proteger contre les utilisateurs internes (selon leurs droits). 

• 2) Proteger un reseau d'un traffic qui ne passe pas par le 
pare- feu (exemple de modems additionnels) 

• 3) Proteger contre les virus. 

• 4) Proteger contre des menaces imprevues (hors politique). 

• 5) Etre gratuit et se configurer tout seul. 6 



Definir un politique de securite 
1) Interdire tout par defaut 

s Presentation generale de cette approche: 

S Tout ce qui n'est pas explicitement permis est interdit. 

s Mise en oeuvre : 

s Analyse des services utilises par les utilisateurs. 

S Exemple 1 : Un hote serveur de courrier doit pouvoir utiliser SMTP. 
S Exemple 2 : Un hote devant acceder au Web doit pouvoir utiliser HTTP. 

s Definition des droits a donner : definition de la politique de securite. 

s Attribution des droits dans un outil appliquant la politique, 
Suppression de tous les autres droits. 

s Avantages/ inconvenients 

s Solution la plus securitaire et la plus confortable pour 
I'administrateur de la securite. 

s Solution qui limite considerablement les droits des usagers. 

s Solution la plus recommandee et la plus souvent 
utilisee. 



Politiques de securite : 
2) Autoriser tout par defaut 

s Presentation generale de la solution : 

S On permet tout sauf ce qui est considere comme dangereux => Tout ce 
qui n'est pas explicitement interdit est autorise. 

s Mise en oeuvre : 

S On analyse les differents risques des applications qui doivent s'executer. 

=> On en deduit les interdictions a appliquer, on autorise tout le reste. 

s Exemple 1 : I nterdire completement les acces en Telnet depuis 
I'exterieur ou les autoriser sur une seule machine. 

s Exemple 2 : I nterdire les transferts FTP ou les partages NFS depuis 
I'interieur (protection des donnees). 

s Avantages/ inconvenients 

s Solution inconfortable pour I'administrateur de la securite. 
s Solution qui facilite I 'acces des usagers au reseau. 

s Solution peu recommandee et peu utilisee. 
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Outils dans les pare-feux : 
1) Filtre de paquets et de segments 



s Concerne le trafic echange aux niveaux I p (paquets) et 
TCP/UDP (segments). 

s Ensemble de regies autorisant ou refusant un transfert 
combinant la pi u part des informations disponibles dans 

les messages : adresses sources destination, indicateurs .... 
s En fait : definition d'une politique de securite a capacites. 
s Solution implantee a de nombreux emplacements dans 

les reseaux: ordinateurs clients ou serveurs, routeurs filtrants 
('screening router'), equipements dedies. 

S Avantages : solution peu couteuse et simple agissant sur tous 
les types de communications. 

s I nconvenients : 

s Des regies de filtrage correctes et bien adaptees aux besoins peuvent 
etre diff idles a etablir. 

S On n'agit qu'aux niveaux 3 et 4. 



Architecture de pare-feu avec 
routeur filtrant ('screening router') 




Flux autorise 



Pare-feu 
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Outils dans les pare-feux : 
2) Filtre applicatif ('proxy') 



s Proxy de securite : analyse du trafic echange au niveau 
application (niveau 7) pour appliquer une politique de securite 
specifique de chaque application. 

s Un serveur proxy est necessaire : pour chaque protocole 

d'application SMTP, FTP, HTTP, ... 

s parcequ'il faut interpreter les messages de fagon differente pour chaque 
application. 

s Control e des droits : implique que chaque usager soit 
authentifie. 

s Avantage : on peut intervenir de maniere fine sur chaque 
zone des charges utiles transportees au niveau applicatif. 

S I nconvenient : solution couteuse car il faut definir des droits 
complexes. 
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Outils dans les pare-feux 
3) Hote a double reseau 



s Terminologie : Hote a double reseau 
En anglais 'Dual homed host'. 

s Definition : 

S Un hote qui possede au moins deux interfaces reseaux (qui 
interconnecte au moins deux reseaux). 

s Propriete: 

S Si un hote connecte deux sous reseaux, 

S Et s'il n'est pas configure en routeur. 

S => 1 1 est impossible a un paquet de passer d'un reseau a 
I'autre sans etre traite au niveau applicatif. 

S => Cest un proxy incontournable. 
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Outils dans les pare-feux 

4) Bastion 



s Un hote expose au reseau externe (rendu accessible de I'exterieur par la 
definition de la politique de securite). 

s 1 1 constitue un point de contact entre reseau externe et reseau interne. 

s Serveur pour un ensemble de services predefinis : 

S Service toile (HTTP), service de norms (DNS), service de messagerie .... 

S Le bastion peut agir en rendant directement le service concerne. 

S Le bastion peut agir en relayant les requetes vers d'autres serveurs 
apres avoir effectue un contole d'acces applicatif (proxy-serveur). 

S Le bastion doit etre incontournable pour I'ensemble des services prevus. 

s Le bastion peut servir dans la detection d' intrusion: 

s Analyse des communications pour detecter des attaques : I DS 
('Intrusion Detection System'). 

s Fonction pot de miel (Honeypot) : un service semblant attractif pour 
un attaquant et qui n'est en realite qu'un piege pour detecter Tattacpjant. 



Architecture de pare-feu avec 
routeur filtrant et bastion 




Pare-feu 



Outils dans les pare-feux : 
5) Zone demilitarisee (reseau expose) 



s Terminologie : 

S Reseau expose, reseau peripherique ( 'Peripheral Network') 
S Zone demilitarizee , DMZ, 'De Militarized Zone' 

s Definition : 

S Une partie d'un pare-feu qui est un sous-reseau. 

S Ce sous reseau place en passerelle entre un reseau a 
proteger et un reseau externe non protege. 

s Proprieties visees : 

S La zone demilitarizee est plus ouverte sur le reseau externe 
que le reseau interne. 

S Elle dessert les systemes exposes a I'exterieur : 
principalement les bastions . 
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Architecture de pare-feu avec 
routeurs, bastions et DMZ 



Routeur 

filtrant 

interne 





Bastion 

Reseau 
Expose 
(DMZ) 



Bastion 




Routeur 

filtrant 

externe 




Pare-feu 
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En association avec le pare-feu 
6) Traducteur cTadresses NAT 



s Traduction des adresses I P et TCP : 

S NAT 'Network Address Translation' et PAT 'Port Address 
Translation' => Traduction com bi nee de port et d'adresse 
reseau: NAPT 'Network Address and Port Translation'. 

S Solution introduite pour economiser des adresses I P V4. 

s Solution utilisee en securite: 

s NAPT permet de cacher le plan d'adressage interne: 

les adresses I P et les numeros de port ne sont plus connus a 
I'exterieur. 

s NAPT n'autorise pas les connexions initialisers depuis 
le reseau externe. 

S Solution differente du filtrage de paquets mais solution 
complementaire. 
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Pare-Feux 



Filtrage des paquets et 
des segments 
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Rappel: Structure d'un datagramme 

IP avec un segment TCP 





r 

> 

r 

v. 


Ver. IHL TOS 


Length 


IP 1 


IP Identification 


Flags Fragment Offset 


Header 


TTL Protocol 


IP Checksum 


Source Address 




Destination Address 




IP Options (if any) 




Source Port 


Destination Port 




Sequence Number 


TCP J 
Header 


Request Number 


Offset Reserv. Control 


Window 




Checksum 


Urgent Pointer 




TCP Options (if any) 


Payload < 


Payload 
(Including Application PDU Header) 



19 



Zones importantes pour les 

pare-feux (1) 



s Protocole de niveau liaison (PPP, niveau mac): 

S Zone protocole utilisateur (demultiplexage): IP, IPX... 

S Zones adresses: Adresses Ethernet IEEE802, ( permettent de 
determiner la source et la destination sur la liaison done 
I'entree ou la sortie) 

s Protocole I P: 

S Adresses source et destination. 

S Drapeaux (Flags): en particulier ceux qui concernent la 
fragmentation. 

S Le type de protocole destinataire: TCP, UDP, I CMP, ... 

S Analyse des zones d'extension par exemple en routage par 
la source => Demande de destruction de ces datagrammes 
car utilisation possible du routage par la source en attacfGie. 



Zones importantes pour les 

pare-feux (2) 



s Protocole TCP : 

s Numeros de port source et destination: permet d'estimer quel est le 
service concerne dans la mesure ou Ton respecte rutilisation des 
numeros bien connus => 1 1 est toujours possible pour un attaquant 
d'usurper un numero de port. 

s Drapeaux de controle (flags) 

s ACK: positionne sauf dans le premier segment (utilisation possible pour 
bloquer des connexions). 

s SYN: positionne dans les deux premiers segments (permet d'identifier 
les connexions). 

s RST: fermeture non negociee de connexion. 

s Protocole d 'application : 

S Analyse non realisee par les filtres de paquets mais par les proxys 
serveurs. 

S L'application filtree doit etre tres stabilisee. 21 



Les principaux services Internet 

a controler 

s Le courrier electronique SMTP Simple Mail Transfer Protocol 

s Le transfer! de fichiers FTP File Transfer Protocol et I'acces 
fichier distant NFS Network File System. 

s Les acces a distance protocoles telnet, rlogin, ssh 

S La toile HTTP Hypertext Transfer Protocol 

s Les informations sur les utilisateurs: finger 

s Les services de conferences CUseeMe, Netmeeting, . . . 

s L'annuaire des noms de domaine DNS Domain Name 

Service. 

s L'admini strati on de reseau SNMP Simple Network 

Management Protocol, 
s La synchronisation d'horloges NTP Network Time Protocol, 
s Les systemes multi fenetres X-Windows 
s Les systemes d'impressions LPR/ LPD Line Printing 

s Les nouvelles (news) NNTP Network News Transfer PrcSbcol. 



Semantique du filtrage des paqu 
: Trois notions de direction (1) 




Les regies sont assez souvent exprimees selon une 
notion de direction : entrant ou sortant. 

1) Direction associee au reseau a proteger. 

Filtre 

™ Reseau 

Direction sortante 





Direction entrante 



Les regies ne sont pas symetriques : on donne des droits a un hote 
interne vers I'exterieur et on refuse ces droits de I'exterieur vers I'interieur. 

2) Position du filtrage dans un routeur filtrant selon 
I' interface, Fiitre 

Paquet entrant 




Paquet sortant 



Paquet entrant 
Paquet sortant 



Paquet sortant 

Paquet entrant 

Application d'une regie de filtrage : soit des la reception (on filtre les 
paquets arrives) ou avant remission (on filtre les paquets apres le routage 
juste avant la sortie) 23 



Semantique du filtrage des paquets 
: Trois notions de direction (2) 

s 3) Notion de direction selon le sens de 
connexion 

S La direction concerne des connexions (ouvreur actif TCP 
vers ouvreur passif) ou des services applicatifs 
(client/serveur). 

s Regies concernant des services sortants : la 

connexion est a la demande d'un ouvreur ou d'un client 
interne (Exemple: telnet sortant). 

s Regies concernant des services entrants : la 

connexion est a la demande d'un ouvreur ou d'un client 
externe (Exemple: http entrant). 

S Conclusion : Introduction dans certains filtres d'un 
semantique de sens dans I 'expression des regies => Bien 
connattre la semantique de la direction dans le filtre utilise 
concernant les notions d'entrant et de sortant. 



Les trois etapes du filtrage : 
Etape 1 : Specification abstraite 



s Definir abstraitement la politique de securite 

ce qui est autorise et ce qui est interdit 
• Choisir une politique d'ensemble: 



Solution 1) Tout ce qui n'est pas explicitement autorise est interdit. 
Solution 2) Tout ce qui n'est pas explicitement interdit est autorise. 

• Enoncer des regies 

Exemple de regie 1) Autoriser un hote intrene a recevoir 
du courrier electronique de toute provenance parceque 
c'est un serveur de courrier smtp. 

Exemple de regie 2) I nterdire a un hote externe precis 
d'envoyer du courrier SMTP a un serveur de courrier 
interne parcequ'il est en liste noire. 

25 



Les trois etapes du filtrage : 
Etape 2: Etablirdes regies precises 



s Traduire la politique de securite en des regies precises 
concernant des communications I P 

• Regies concernant des datagrammes I P : adresses source/ destination, 
protocole utilisateurTCP port source/ destination, indicateurs TCP, autres 

Exemple 1) Regie interdisant tout par defaut 





Regie 


1 P Source 


Port Source 


1 P Dest 


Port Dest 


Complement 






1 nterdire 


* 


* 


* 


* 


TCP 






• Exemole 2) Reale autorisant la re< 


zeotion du courrier oar un serveur 






Regie 


1 P Source 


Port Source 


1 P Dest 


Port Dest 


Complement 






Autoriser 


* 


* 


Smtp- local 
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TCP 






• Exemple 3) Regie interdisant remission par un serveur de courrier suspect 




Regie 


1 P Source 


Port Source 


1 P Dest 


Port Dest 


Complement 






1 nterdire 


Smtp_ distant 


* 


* 


* 


TCP 
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Les trois etapes du filtrage : 
Etape 3 : Configurer un outil precis 




Rentrer les regies dans un pare- feu reel en utilisant la 
syntaxe et la semantique de I 'interface de I 'outil 

S Semantique la plus frequente : exploitation des regies dans I'ordre. 

s La premiere regie satisfaite provoque I'autorisation de la transmission ou 
la destruction du datagramme. 

S En fait un pare-feu interprete un programme qui est une suite de: si 
(condition sur datagramme) alors action (autoriser/interdire). 

S Exemple : Liste ordonnee des regies precedentes. 



Regie 


1 P Source 


Port Source 


1 P Dest 


Port Dest 


Complement 


1 nterdire 


Smtp- distant 


* 


* 


* 


TCP 


Autoriser 


* 


* 


Smtp_ local 
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1 nterdire 


* 


* 


* 


* 


TCP 



S Transformer les regies dans la syntaxe du pare-feu disponible 
Exemple : Syntaxe de regie avec le pare-feu LI NUX (iptables). 
[root@ firewall]#iptables -A FORWARD -p smtp -d 192.168.0.10 -j ACCEPT 



Affiner les regies de filtrage 
Utilisation des indicateurs : ACK 



s Exemple d' utilisation d'indicateurs Envoyer 
('flags') TCP, SYN, seqH 

s Besoin frequent : autoriser la 
connexion d'un client interne sur un 
serveur interne (ou externe) mais 
refuser la connexion d'un client externe 
sur le meme serveur interne. 

s Une solution : I'utilisation de 
Tindicateur ACK en TCP. 

s Rappel : Fonctionnement de TACK. 

S ACK present dans pratiquement tous les y 

segments sauf le premier (exception les A ^"^ y +1 

segments RST qu'on peut autoriser 

explicitement). 
S 1 1 suffit de bloquer un segment sans se 9 mer » : A( ~K 

ACK pour interdire la mise en place 

done I'existence d'une connexion. 

segment ACK 



Recevoir 

SYN, 

ACK segment 




Recevoir 
segment SYN 

Envoyer 
SYN, seq=y 
ACK x+1 



Recevoir 
segment ACK 

segment ACK 
segment^CK 



Filtrage avec indicateur ACK TCP : 

Fonctionnement precis 

; Premiere politique : un client autorise peut utiliser un service de 
numero de port bien connu ou qui I soit. 

• La premiere regie autorise certains hotes selectionnes (possiblement tout 

mon domaine) a communiquer avec un service distant (interne ou 
externe) de numero de port bien connu (note ici service- tcp, par ex 80). 

; Seconde politique : un site externe ne peut commencer une 
communication avec un serveur interne sur le port bien connu mais 
il peut continuer une communication qui a ete initialisee. 

• La seconde regie autorise tous les hotes de I'internet (internes ou 

externes) qui utilisent le numero de port bien connu a communiquer a 
condition que le bit ACK soit positionne => on autorise en fait les 
reponses par un serveur a une communication initialisee en interne. 



Regie 


1 P Source 


Port Source 


1 P Dest 


Port Dest 


Complement 


Autoriser 


Mes- hotes 


* 


* 


Service-TCP 


TCP 


Autoriser 


* 


Service-TCP 


* 


* 
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Conclusion 
Avantages des filtres de paquets 

s Un filtre de paquets peut proteger en un 

seul dispositif tout un reseau d'entreprise. 

s La mise en place du filtre peut etre 

real i see par I'equipe systeme 
independamment des usagers qui gerent les 
postes clients ou serveurs. 

s Les filtres de paquets sont tres repandus 

S dans tous les routeurs 

S sous forme de logiciels filtres logiciels libres ou 
proprietaires. 30 



Conclusion : Inconvenients des 

filtres de paquets 




s Le filtrage de paquets pose des problemes de 



mise en oeuvre. 

S Regies difficiles a definir. 

S Regies difficiles a assembler en une suite coherente. 

S Fonctionnalites des filtres dont on dispose specifiques ou 
incompletes ou difficiles a comprendre. 

s Certains protocoles applicatifs posent des 
problemes pour le filtrage 

S Exemples : utilisation de ports alloues dynamiquement. 

s Les filtres de paquets ne prennent pas en 
compte les donnees des applications 

S Exemple: filtrer sur le nom d'un usager dans un acces 
distant ou dans un transfert de fichier. 

S Necessite de mettre en ceuvre des proxys. 31 
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